面对越来越多基于Android(安卓)系统开发的手机,当前谷歌已经无力直接控制Android设备的安全升级了,这种情况会导致约60%的Android手机处于在安全风险中。 Android处于危险之中 安全专家Todd Bearsley在Rapid7 Security Street上发布了一篇有趣的博文,文中解释说目前Metasploit框架中包含11种针对WebView的不同漏洞利用程序。 “WebView是Android设备中用于渲染web页面的核心组件。在Android KitKat(4.4)中该组件被另一个基于Chromium的WebView所替代,而谷歌的Chrome浏览器使用的也正是该组件。” 安全社区意识到旧版本Android系统中的WebView组件非常脆弱。就在1年前,Rapid 7 发布了“exploit/android/browser/webview_addjavascriptinterface”模块,该模块使得攻击者能够远程访问大多数Android设备。 放弃老版本,谷歌不再提供安全支持 坏消息是,目前在用户使用的Android设备中,约60%仍旧依赖于包含漏洞的WebView组件;更坏的消息是谷歌以后将不再修复WebView漏洞,Android4.4之前的所有版本都会受该漏洞的影响。好消息是,谷歌将接受由研究社区提供的漏洞补丁,并会将新发现的漏洞及时通知给OEM合作伙伴。 在收到Android4.4之前版本的WebView漏洞的报告时,安卓安全团队给出了这样的回复: 如果受影响的版本(WebView)是在Android4.4之前,那么我们通常不亲自开发补丁,但欢迎你们开发补丁并提供相关报告。除了通知OEM方,我们将不会采取任何措施来应对该漏洞。 然而,即使谷歌将有关新漏洞的消息通知给OEM方,大规模的漏洞补丁管理仍然需要花费很长的时间,所以在补丁发布之前,60%的最终用户仍然处于危险之中。 同时有一点必须考虑,那就是不同的手机厂商都会发布他们自己定制的Android系统(OEM),通常这些定制系统中会包含一些辅助功能和第三方应用。 根据谷歌发布的数据,虽然自从2013年10月份就已发布Android4.4系统,但是约60%的移动用户仍然使用的是4.4之前的系统版本,使得这些用户无形中暴露在被攻击的危险之中。 由Gartner和《华尔街日报》给出的有关智能手机分布数据表明,超过9.3亿的Android手机现在失去了谷歌官方安全补丁的支持。 我们还必须考虑到,供应商和网络提供商很少会开发、测试补丁并修复旧版本中的漏洞,而是更加希望Android手机用户升级设备。 我个人认为这跟谷歌不能控制整个Android系统升级供应链有关;另一个原因是日益增加的网络威胁已经瞄准了移动行业,并且这种威胁更加复杂。 与谷歌不同的是,苹果和微软这种公司对他们的移动操作系统的部署和升级都拥有直接的控制权。 Android安全形式严峻 Bearsley也提供了一个有趣的“升级经济”现象。根据市场上手机价格的不同,我们本来会有很多选择。但不幸的是,大部分用户付不起升级手机的费用,所以没有其他选择,只能买上市已久的Android手机。 “除了手机系统的安装基础,我认为目前使用Android4.4之前版本的用户很可能是没有足够的经济支撑来升级到Android最新版本。最新的谷歌Nexus零售价约为660美元,而亚马逊上第一款Android手机的零售价才70美元。两者的差价将近10倍,这就意味着两个差别非常大的用户基础:一个是不介意花费几百美元来买一个新手机,另一个则是买不起价格超过100美元的手机。所有加在一起,则有约2/3的用户基本没有经济能力去升级自己的移动设备,也就意味着旧有Android手机中的漏洞利用将会持续很长时间。” 安全研究人员已经发现针对移动平台的攻击越来越频繁,并且利用Android设备漏洞的在线工具和平台也越来越多。 我们希望谷歌能够重新考虑为旧有的Android手机提供安全支持,因为用户的安全是我们所有人的责任。 参考来源SecurityAffairs,译/实习编辑JackFree |